Национальный центр защиты персональных данных в 2023 г. провел 13 плановых, 7 внеплановых и 18 камеральных проверок, связанных с соблюдением законодательства о защите персональный данных.
В 10 случаях камеральных проверок поводом для их проведения стали жалобы субъектов персональных данных.
Типичные нарушения, которые выявляются в ходе проведения проверок, связаны с недостаточно эффективной реализацией обязательных мер, предусмотренных ст. 17 Закона Республики Беларусь «О защите персональных данных».
Наиболее частым нарушением является формальный подход к изданию документов, определяющих политику оператора в отношении обработки персональных данных.
Политика – ключевой документ оператора, который отражает бизнес-процессы, связанные с обработкой персональных данных.
Часто организации заимствуют эти документы из доступных источников без учета специфики работы конкретной организации. Либо политики отсутствуют вовсе:
отсутствие политики;
формальный подход к изложению политики;
отсутствует публикация политики (либо опубликование на сайте в неочевидном для пользователя месте).
Так при формулировании целей обработки персональных данных указываются общие цели, не позволяющих четко определить предмет обработки и круг персональных данных, требующихся для ее достижения;
Распространенная ошибка при определении правовых оснований для обработки персональных данных исходя из цели обработки – смешение договора и согласия как самостоятельных правовых оснований обработки посредством включения согласия в текст договора и лишение субъекта персональных данных выбора – давать согласие на обработку или нет.
Оценка соразмерности и избыточности обрабатываемых персональных данных по отношению к цели обработки.
Распространенное нарушение – обработка персональных данных, которые не являются необходимыми для цели обработки (например, обработка информации о родственниках, идентификационном номере при рассмотрении резюме соискателя на трудоустройство).
Некоторые торговые сети, чтобы оформить карту лояльности, требуют сведения об идентификационном номере, фактическом месте проживания, образовании физлица, наличии детей, автомобиля, домашних питомцев. Однако эти данные избыточны по отношению к заявленным целям их обработки. Вместе с тем в согласии не отражаются права граждан, связанные с обработкой персональных данных, механизм их реализации, а также последствия дачи согласия или отказа от его предоставления. К тому же не поясняется, кому и для каких целей будут передаваться эти данные.
Размытие сроков хранения персональных данных исходя из целей обработки. При отсутствии правовых оснований для обработки, превышении срока хранения, избыточности обрабатываемых персональных данных они подлежат удалению.
Отсутствие свободного характера согласия также является нарушением. Например, при оформлении карт лояльности некоторые торговые сети берут общее согласие на несколько целей, не связанных между собой, в том числе направление рекламной рассылки. Такое согласие не является свободным и его получение не соответствует требованиям законодательства о персональных данных.
Несоблюдение требования законодательства при передаче операторами персональных данных уполномоченным лицам - отсутствие соглашения о порядке обработки персональных данных между оператором и уполномоченным лицом, отсутствие правовых оснований для предоставления персональных данным уполномоченным лицам.
Распространение данных без согласия физических лиц, куда входят звонки и рассылка рекламных уведомлений. Так, незаконны звонки и рассылка клиентам/покупателям с рекламными, акционными предложениями товаров, услуг, если на то не было согласия.
Сбор операторами персональных данных из открытых источников, в том числе из взломанных баз данных, - еще одно нарушение. Операторы не могут подтвердить, что эти сведения были распространены самим человеком или с его согласия.
В Беларуси ведется работа над законодательным совершенствованием вопросов ответственности за нарушения прав граждан при обработке их персональных данных.
Меры ответственности в Беларуси в сравнении с европейскими странами достаточно лояльны и неощутимы для бизнеса, если говорить про финансовую составляющую, а репутационный урон гораздо больше.
В странах Евросоюза суммы штрафов в фиксированной величине достигают 20 млн евро, что составляет более 1,5 млн базовых величин.
Максимальный размер штрафа сегодня для юридического лица в 50 базовых величин несоизмерим с теми затратами, которые необходимо сделать, чтобы техническими средствами обеспечить должным образом защиту персональных данных.
Один из трендов, к которому сейчас подходят некоторые страны, - это процент от оборота, в том числе в рамках всей группы компаний, не только в стране владельца. Такие суммы достигают сотен миллионов долларов для крупных компаний, в том числе которыми пользуются граждане Республики Беларусь и оставляют там персональные данные.
Некоторые страны, которые вводили административную ответственность в фиксированных суммах или зафиксированных лимитах, сейчас рассматривают изменения и введение оборотных штрафов. Это тоже фактор, который может во многом стимулировать компании в части соблюдения защиты обрабатываемых персональных данных.
Ответственность установлена как для тех, кто обрабатывает персональные данные, так и для конкретных работников либо физических лиц, которые это законодательство нарушают.
Ответственность за нарушение Закона Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее – Закон) (ст.19 Закона)
1. Лица, виновные в нарушении настоящего Закона, несут ответственность, предусмотренную законодательными актами.
2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, установленных настоящим Законом, подлежит возмещению. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
Статья 23.7 КоАП (с 01.03.2021) Нарушение законодательства о защите персональных данных
1. Умышленные незаконные сбор, обработка, хранение или предоставление персональных данных физического лица либо нарушение его прав, связанных с обработкой персональных данных, – влекут наложение штрафа в размере до пятидесяти базовых величин.
2. Деяния, предусмотренные частью 1 настоящей статьи, совершенные лицом, которому персональные данные известны в связи с его профессиональной или служебной деятельностью, – влекут наложение штрафа в размере от четырех до ста базовых величин.
3. Умышленное незаконное распространение персональных данных физических лиц-влечет наложение штрафа в размере до двухсот базовых величин.
4. Несоблюдение мер обеспечения защиты персональных данных физических лиц – влечет наложение штрафа в размере от двух до десяти базовых величин, на индивидуального предпринимателя – от десяти до двадцати пяти базовых величин, а на юридическое лицо - от двадцати до пятидесяти базовых величин.
Национальный центр защиты персональных данных вправе при осуществлении контроля запрашивать и получать на безвозмездной основе от государственных органов, юридических лиц Республики Беларусь, иных организаций и физических лиц информацию, необходимую для определения законности действий (бездействия) операторов (уполномоченных лиц) по обработке персональных данных (в том числе персональные данные физических лиц без их согласия).
Информация представляется в течение 10 календарных дней со дня поступления запроса.
Непредставление такой информации содержит признаки административного правонарушения, предусмотренного статьей 24.11 Непредставление документов, отчетов и иных материалов Кодекса Республики Беларусь об административных правонарушениях.
Статья 24.11 КоАП Непредставление документов, отчетов и иных материалов
Непредставление должностными или иным уполномоченным лицом или индивидуальным предпринимателем в установленные сроки документов, отчетов, сведений или иных материалов в случаях, когда обязанность их представления предусмотрена законодательными актами, либо представление таких документов, отчетов, сведений или иных материалов, содержащих заведомо недостоверные сведения, - влекут наложение штрафа в размере до двадцати базовых величин.
Статья 24.1 КоАП Неисполнение письменного требования (предписания)
Неисполнение, ненадлежащее или несвоевременное исполнение письменного требования (предписания) об устранении нарушений, вынесенного в соответствии с законодательным актом уполномоченным должностным лицом государственного органа (организации), либо не информирование государственного органа (организации) в установленный срок об исполнении такого требования (предписания) – влекут наложение штрафа в размере до двадцати базовых величин.
Статья 203-1 УК (с 19.06.2021)
Незаконные действия в отношении информации о частной жизни и персональных данных
1.Умышленные незаконные сбор, предоставление и ная обработка информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина, – наказываются общественными работами, или штрафом, или арестом, или ограничением свободы на срок до двух лет, или лишением свободы на тот же срок.
2. Умышленное незаконное распространение информации о частной жизни и (или) персональных данных другого лица без его согласия, повлекшие причинение существенного вреда правам, свободам и законным интересам гражданина,– наказываются лишением права занимать определенные должности или заниматься определенной деятельностью со штрафом или ограничением свободы на срок до трех лет со штрафом, или лишением свободы на тот же срок со штрафом.
3. Действия, предусмотренные частями 1 или 2 настоящей статьи, совершенные в отношении лица или его близких в связи с осуществлением им служебной деятельности или выполнением общественного долга, – наказываются ограничением свободы на срок до пяти лет со штрафом, или лишением свободы на тот же срок со штрафом.
Статья 203-2 УК (с 19.06.2021) Несоблюдение мер обеспечения защиты персональных данных
Несоблюдение мер обеспечения защиты персональных данных лицом, осуществляющим обработку персональных данных, повлекшее по неосторожности их распространение и причинение тяжких последствий, — наказывается штрафом, или лишением права занимать определенные должности или заниматься определенной деятельностью, или исправительными работами на срок до одного года, или арестом, или ограничением свободы на срок до двух лет, или лишением свободы на срок до одного года.
Риски, связанные с обработкой персональных данных:
имидж и репутация;
утечка персональных данных;
иски;
жалобы в уполномоченный орган по защите персональных данных;
отрицательные результаты проверок уполномоченного органа;
приостановление (прекращение) обработки персональных данных в информационном ресурсе(системе);
привлечение к ответственности за нарушение порядка обработки персональных данных.
Заявка на консультацию
Оставьте контактные данные и мы свяжемся с Вами в течение 5 минут